ACF
acfstandard.io
Developer docs
EN
Sécurité

Signatures de doctrine

Chaque sortie d’un outil acf-mcp est cryptographiquement signée. Vérifiez-la hors-ligne avec la clé publique Ed25519 d’ACF® et pin-la dans votre pipeline d’audit pour avoir une racine de confiance opposable.

Astuce
La vérification n’a besoin d’aucune connexion réseau — la clé publique est embarquée dans chaque release npm d’acf-mcp. Trois implémentations canoniques de référence sont fournies : Node.js, Python, Go.

Anatomie d’une sortie signée

Chaque sortie d’outil embarque sept champs de traçabilité. La signature porte sur le hash de contenu, pas sur la sortie complète — ainsi un client peut signaler le rationale et l’audit-trail séparément sans réémettre la signature.

signed-footer.jsonjson
{
  "doctrine_version": "ACF framework v1.0 / rules 2026-06",
  "doctrine_hash": "sha256:bf0b6d8e4731ebdc58f6d6338702c5b74af47874cf0ad3dc958cde5c5b30b9dc",
  "doctrine_signature": "ed25519:7c9f3a2b8e1d4f6a9b2c5e8d1f4a7b3c6e9d2f5a8b1c4e7d0a3b6c9e2f5a8b1c4e7d0a3b6c9e2f5a8b1c4e7d0a3b6c9e2f5a8b1c4e7d0a==",
  "doctrine_public_key": "MCowBQYDK2VwAyEAojtKfh20SGGV63LMETjZBXRWo2tY0viAYziG/y3/L0s=",
  "doctrine_archive_url": "https://acfstandard.io/doctrine/v1.0/archive.json",
  "regulatory_snapshot": "EU AI Act 2024/1689 · GDPR 2016/679 · ISO 42001:2023 · NIST AI RMF 1.0 · COBIT 2019 — frozen 2026-06",
  "generated_at": "2026-06-14T11:47:22.318Z"
}

Les trois propriétés

1. Ed25519

La signature est Ed25519 (RFC 8032) — courbe elliptique sur Curve25519. Choix dicté par : (1) absence de paramètres faibles (pas de courbe NIST suspecte), (2) vérification déterministe et constant-time, (3) tailles compactes (32 octets pour la clé publique, 64 pour la signature). La clé publique d’ACF® est diffusée en encodage SPKI base64.

2. Chaîne de hachage SHA-256

À l’intérieur du registre de décisions (fiche ACF-08), chaque entrée intègre le hash SHA-256 de l’entrée précédente. Réécrire une entrée passée détecte immédiatement une rupture de chaîne en recalculant. C’est ce qui rend le registre opposable à un auditeur ou un tribunal.

3. Horodatage qualifié RFC 3161

Chaque entrée du registre est horodatée par une Time Stamp Authority qualifiée eIDAS (par exemple Universign PSCE référencée par l’ANSSI). Cela donne à chaque décision une date opposable, vérifiable indépendamment du déployeur.

La clé publique courante

La clé publique de doctrine pour acf-mcp ≥ 1.1.0 :

acf-doctrine-pubkey.txttext
MCowBQYDK2VwAyEAojtKfh20SGGV63LMETjZBXRWo2tY0viAYziG/y3/L0s=

Voir l’historique complet (rotations de racine, versions antérieures).

Pourquoi cela compte

L’EU AI Act (article 12, article 26(6)) impose la conservation par le déployeur de journaux d’évènements pendant au moins six mois. Sans signature cryptographique et chaîne de hachage, un journal peut être réécrit avant remise à l’auditeur — ce qui le rend inopposable. ACF® rend la signature et la chaîne opt-out (par défaut activées) pour fermer cet angle d’attaque.